Cześć,

Każdy administrator lub osoba wdrażająca sieć w danej firmie, chce unikać WiFi ze względu na duże obniżenie bezpieczeństwa reszty sieci – jest po prostu słabym ogniwem. Tylko jak zrezygnować z sieci WiFi, gdy mamy dużo urządzeń peryferyjnych (drukarki, skanery, czujniki itd.) lub nawet stanowiska w różnych częściach firmy – gdzie nie idzie podciągnąć kabla – jest to po prostu czasem nie możliwe. Sam szukałem wielu metod jak zabezpieczyć najbardziej WiFi, co później sam testowałem czy uda mi się dostać do danej sieci, poniżej przedstawiam moje spostrzeżenia. 

Chciał bym poruszyć kwestie bezpieczeństwa sieciowego w firmie – konkretnie chodzi mi o sieć WiFi.

Pierwsze na myśl co mi przyszło – zastosowanie bezpiecznego WPA2, duże mocne szyfrowanie, długi czas potrzebny na złamanie klucza – wszystko wygląda super, do czasu aż znajdziesz w internecie sporo firm lub osób, które są wstanie udostępnić swoją „maszynę” (serwerownię), przygotowaną tylko do łamania hashy – za kilka dolarów dostajemy hasło do sieci, naprawdę długie hasła kosztują niewiele. Bardzo mnie ten fakt zaniepokoił, gdyż WPA2 była przygotowana w myśl potrzebnych potężnych maszyn do ewentualnego złamania, pamiętam jak na studiach prowadzący często mówili: „nie ma takich potężnych maszyn i nie będzie, bo nikt wam nie pozwoli wykorzystać ich do łamania haseł”.

Ok – nie WPA2 to pomyślimy nad ukryciem sieci WiFi – opcja dostępna w każdym urządzeniu, nawet tym niskobudżetowym (to już dało do myślenia) – opcja bardzo słaba, odnalezienie ukrytej sieci to nic trudnego, ze zwykłym softem jesteśmy wstanie odkryć wszystkie sieci – odpada

Kiedyś ktoś wpadł na pomysł – odseparujmy sieć wifi za pomocą VLAN, ok wszystko pięknie – to naprawdę wydaje się już dobrym pomysłem, do momentu kiedy będziemy musieli dać dostęp ręcznemu skanerowi, łączącemu się przez WiFi do bazy danych – już niestety musimy nagiąć swoje zasady i opcja VLAN się pomału kruszy. VLAN jest dobry, ale musimy bardzo mocno ograniczyć wtedy sieć wewnętrzną – co już nie jest do końca wygodne, bo w rezultacie mamy sieć bardzo ograniczoną, nie nadającą się do wygodnej pracy.

Dobrze odpadło nam wiele opcji – to ktoś podpowie – „hej! Weź zrób ograniczenie do danych adresów MAC” – jak to fajnie wygląda w momencie konfiguracji, wpisywania kolejnych adresów, które mogą się łączyć z wifi – na początku, wydaje się być to bardzo dobre rozwiązanie, do chwili w której zaczniesz się bawić specjalistycznym softem do analizowania sieci i widzisz jak lecą pakiety z komputera do punktu WiFi – a przy okazji widzisz jak na dłoni adresy MAC, wystarczy tylko poczekać aż dany komputer czy urządzenie przestanie się łączyć z daną siecią, zmieniasz mac – Witajcie w domu.

Najsensowniejszym, a zarazem najbardziej skomplikowanym wydaje się być RADIUS, jest to system weryfikacji, który mi sprawił najwięcej kłopotu. Radius nie wysyła informacji od siebie kto się łączy, tylko pozwala albo nie pozwala. Wydaje się być to bardzo dobrym zabezpieczeniem – ale czy możemy to ulepszyć? Oczywiście! Dodajmy za radiusem ldap. Będzie to kolejna bramka weryfikująca naszego użytkownika czy może łączyć się z WiFi.

Więc jeżeli chcecie mieć naprawdę bezpieczną sieć w firmie i nie chcecie stracić danych (RODO czai się z ukrycia…) to polecam zainwestować czas i pieniądze w bezpieczną sieć WiFi – za którą będzie stał dobrze skonfigurowany Radius wraz z LDAP.

Proszę mi wierzyć, na swojej drodze tylko raz spotkałem się, by w danej firmie było takie mocne zabezpieczenie, ludzie bardzo mocno lekceważą WiFi, nikt im nie mówi, że każdy może podjechać pod firmę (może być nawet 1 kilometr od firmy by testować sieć) i może narobić sporego kłopotu.

Pragnę zauważyć, że coraz więcej mamy w domu sprzętu typu IoT, który odpowiada za szereg ważnych rzeczy np. sterownik pieca, otwieranie automatyczne drzwi bez użycia klucza, otwieranie bramy garażowej przy podjeżdżaniu itd. Czyli bezpieczna sieć WiFi nie jest potrzebna tylko w firmie, ale już w domu – gdyż pomału w domach mamy już serwerownie.

Jeżeli doczytaliście do końca, proszę o informację czy post był pomocny, czy mam pisać o kolejnych aspektach bezpieczeństwa i nie tylko.